Apple News

Le cauchemar de l’impression Windows continue pour l’entreprise


OK, Microsoft, nous devons parler. Ou plutôt, nous devons imprimer. Nous le faisons vraiment. Nous ne sommes pas tous sans papier ici dans le monde des affaires – beaucoup d’entre nous doivent encore cliquer sur le bouton Imprimer dans nos applications professionnelles et imprimer les choses sur une vraie feuille de papier, ou envoyer quelque chose à une imprimante PDF. Mais au cours des derniers mois, il est devenu presque impossible de rester entièrement corrigé et de continuer à imprimer.

Exemple : les mises à jour de sécurité d’août.

Microsoft a modifié la façon dont les imprimantes de stratégie de groupe sont gérées lorsqu’il modifié le comportement par défaut de Pointer et d’imprimer pour remédier aux vulnérabilités « PrintNightmare » affectant le service Windows Print Spooler. Comme noté dans KB5005652, « par défaut, les utilisateurs non administrateurs ne pourront plus effectuer les opérations suivantes à l’aide de Pointer-imprimer sans élévation de privilèges d’administrateur :

  • Installer de nouvelles imprimantes à l’aide de pilotes sur un ordinateur ou un serveur distant
  • Mettez à jour les pilotes d’imprimante existants à l’aide des pilotes d’un ordinateur ou d’un serveur distant »
Avis d'installation du pilote d'imprimante Windows IDG

Cependant, ce que nous voyons sur le PatchManagement.org La liste est que toute personne disposant d’un pilote d’impression de style V3 demande à ses utilisateurs de réinstaller les pilotes ou d’installer de nouveaux pilotes. Plus précisément, lorsque le serveur d’impression est sur un serveur Server 2016, les imprimantes sont expulsées via la stratégie de groupe, et le pilote d’imprimante du fournisseur est un pilote V3, il déclenche la réinstallation des pilotes d’impression. Nous constatons également que lorsque le correctif est sur le poste de travail et non sur le serveur, il déclenche une réinstallation des pilotes d’impression.

Étant donné que les entreprises sont susceptibles de garder les utilisateurs sans droits d’administrateur pour limiter les mouvements latéraux (et très franchement parce que Microsoft nous a dit au fil des ans que fonctionner avec des droits d’administrateur était une mauvaise chose), nous devons maintenant décider de donner aux utilisateurs un administrateur local droits, effectuez un ajustement de clé de registre qui affaiblit la sécurité ou annulez le correctif jusqu’à ce que Microsoft découvre ce qui s’est mal passé.

Ceux qui souhaitent modifier le registre peuvent ouvrir une fenêtre d’invite de commande avec des autorisations élevées et entrer ce qui suit :

reg add "HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows NTPrintersPointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 0 /f

Mais cela vous expose à des vulnérabilités connues du public, et ni Microsoft ni moi ne le recommandons.

Aller au cœur du problème de l’impression

Microsoft a reconnu en privé dans un dossier d’assistance que « l’invite d’administration/d’installation pour les pilotes déjà installés et les imprimantes déjà installées est un comportement inattendu ». Il a poursuivi en disant : « Nous avons reçu de nouveaux rapports indiquant que cela affecte également les clients où les pilotes/imprimantes, etc. J’y travaille. » Mais alors que l’entreprise peut reconnaître en privé qu’il y a un problème avec l’impression, elle ne le montre pas sur le Tableau de bord des versions d’intégrité de Windows.

Anthony J. Fontanez a blogué ici et ici avec une bonne discussion sur ce qui se passe. Comme il le fait remarquer, l’une des solutions consiste à s’assurer que les pilotes d’imprimante V4 sont déployés sur votre réseau. Mais c’est là que réside un problème – il est souvent extrêmement difficile de déterminer si les pilotes sont V3 ou V4. Dans le cas des imprimantes Hewlett Packard, PCL 6 désigne V3, tandis que PCL-6 (notez le tiret) désigne V4. Vous devrez peut-être déployer les pilotes sur une machine virtuelle de test afin de déterminer exactement de quel pilote d’imprimante vous disposez.

Si votre fournisseur d’imprimante ne dispose pas d’une version V4 du pilote d’imprimante, assurez-vous de contacter votre fournisseur – en particulier s’il fait l’objet d’un bail actif – et demandez-lui de fournir un pilote révisé. Comme Fontanez l’a écrit, « les pilotes V4 utilisent un pilote spécifique au modèle du côté du serveur d’impression. Lorsque les clients se connectent à une imprimante sur un serveur à l’aide d’un pilote V4, ils ne téléchargent aucun pilote. Au lieu de cela, ils utilisent un pilote générique préchargé nommé « Pointer et imprimer améliorés par Microsoft ». Cependant, certains administrateurs réseau ont indiqué que les pilotes V4 ne sont pas non plus la solution.

Mais même si vous pourrait obtenir les mises à jour d’août installées sur votre réseau, cela ne signifie pas que vous êtes entièrement protégé contre les vulnérabilités du spouleur d’impression. Il existe encore un autre CVE (CVE-2021-36958) pour lequel nous n’avons pas de correctif, et la seule solution consiste à désactiver le spouleur d’impression. Tout ce que nous savons officiellement à l’heure actuelle, c’est qu’« il existe une vulnérabilité d’exécution de code à distance lorsque le service Windows Print Spooler exécute de manière incorrecte des opérations sur les fichiers privilégiés. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez de nouveaux comptes avec des droits d’utilisateur complets. La solution de contournement pour cette vulnérabilité est d’arrêter et de désactiver le service Print Spooler.

Si vous êtes un consommateur, le problème n’est pas aussi sombre. Je n’ai pas encore vu d’utilisateur domestique ou grand public avoir des problèmes d’impression ou de numérisation après l’installation des mises à jour d’août. Cela dit, nous sommes toujours vulnérables aux CVE-2021-36958. Si vous avez déjà installé les mises à jour d’août et que vous n’avez aucun effet secondaire avec l’impression ou la numérisation, laissez les mises à jour de sécurité d’août installées.

Alors, que pouvez-vous faire en ce moment si vous dirigez une entreprise et que vous ont imprimer?

  • Passez en revue ce que les serveurs et les ordinateurs doivent absolument imprimer. Il est clair que les problèmes de sécurité fondamentaux avec le code du serveur d’impression n’ont pas encore été résolus, et il ne semble pas qu’ils le seront bientôt.
  • Envisagez d’imprimer un droit spécifique que vous accordez uniquement aux personnes de votre réseau qui en ont vraiment besoin, au lieu d’activer automatiquement le service de spouleur d’impression sur l’ensemble de votre réseau.
  • Désactivez le service sur tous les contrôleurs de domaine et conservez-le ainsi jusqu’à nouvel ordre.
  • Limitez les serveurs de votre réseau qui ont des rôles de serveur d’impression.
  • Essayez de limiter au mieux les serveurs afin de pouvoir surveiller et limiter le trafic vers ces machines.
  • Désactivez le rôle de serveur d’impression sur les postes de travail, sauf s’ils doivent imprimer.
  • Réévaluez votre flux de travail et vos processus et voyez s’il existe des moyens de déplacer ces flux commerciaux vers des processus Web ou quelque chose qui ne dépendra pas du papier, du toner et des imprimantes.

Un dernier mot à Microsoft

Microsoft, vous devez faire mieux que vous ne le faites actuellement. Parce que nous imprimons toujours. Et au cours de la dernière année, vous avez trop souvent interrompu l’impression. Je me rends compte que vous pouvez être sans papier et passer à tout électronique, mais sachez un peu plus que vos clients d’entreprise ne sont pas encore tout à fait là.

Vos clients ne devraient pas avoir à faire le choix douloureux de supprimer la mise à jour afin de fonctionner dans leur entreprise, ou pire encore d’avoir à effectuer un ajustement du registre, ce qui permet à l’entreprise d’imprimer mais expose l’entreprise à des vulnérabilités en conséquence.

Je corrige des systèmes depuis plus de 20 ans, et si la meilleure chose que nous puissions dire à une entreprise en ce moment est de « désinstaller la mise à jour afin de continuer à fonctionner », nous n’avons rien corrigé depuis 20 ans. de mise à jour. Les entreprises ne peuvent toujours pas corriger immédiatement comme vous nous l’exhortez à le faire. Il faut encore attendre pour voir s’il y a des effets secondaires et gérer les séquelles.

Alors, Microsoft ? Si vous voulez que nous procédions immédiatement au patch, vous devez savoir que beaucoup d’entre nous ont encore besoin d’imprimer.

Copyright © 2021 IDG Communications, Inc.



Source link

Quelle est votre réaction ?

Excité
0
Heureux
0
J'adore
0
Pas certain
0
ridicule
0

Vous aimerez aussi

Laisser une réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans:Apple News